IT家园's Archiver

NWWOLFGANG 发表于 2008-3-31 22:12

对“带有进程映像劫持功能的机器狗病毒”进行分析

对“带有进程映像劫持功能的机器狗病毒”进行分析

报告名称:对“带有进程映像劫持功能的机器狗病毒”进行分析
报告类型:病毒分析播报
分析编辑:Coderui
编写日期:2008年03月05日
该主程序文件经过加壳保护处理。
C:\WINDOWS\system32\drivers\pcihdd2.sys ->释放驱动(文件大小:5,504 字节)
C:\WINDOWS\system32\lssass.exe ->释放木马下载器程序(文件大小:17,668 字节)
C:\WINDOWS\system32\userinit.exe ->覆盖(好象覆盖失败,没得到覆盖后的文件)
C:\WINDOWS\explorer.exe  ->覆盖(没发现覆盖这个文件,但程序内部判这个文件了,说明可能会覆盖)
c:\_uninsep.bat ->调用后,会执行“自我删除”的批处理。
有进程映像劫持功能,大概劫持50个以上安全软件进程(程序名这里就不一一列举了)。
对“lssass.exe”分析:
该程序文件经过加壳保护处理。
判断自己是不是“explorer.exe或userinit.exe”程序。
C:\WINDOWS\system32\drivers\ati32srv.sys ->释放驱动(文件大小:5,376 字节)
C:\WINDOWS\system32\HDDGuard.dll ->释放DLL组件(文件大小:20,480 字节)
安装“ati32srv.sys”驱动,会利用“ati32srv.sys”驱动去关闭指定程序进程。
调用“HDDGuard.dll”组件,“HDDGuard.dll”组件会调用“:\Program Files\Internet Explorer\iexplore.exe”去连接网络(躲
避部分防火墙的监控),下载其它病毒文件。
病毒内的日期,判断木马下载列表的日期:
2008-1-25

NWWOLFGANG 发表于 2008-3-31 22:13

2008-1-25
下载地址列表
[url]http://cnxz.kv8.info/images/xin.txt[/url]
[CONTROL]
VERSION=2008-1-25
[DOWN]
NEWVERSION=http://2.kv8.info/xm/gx.exe
1=http://2.kv8.info/xm/aa1.exe
2=http://2.kv8.info/xm/aa2.exe
3=http://2.kv8.info/xm/aa3.exe
4=http://2.kv8.info/xm/aa4.exe
5=http://2.kv8.info/xm/aa5.exe
6=http://2.kv8.info/xm/aa6.exe
7=http://2.kv8.info/xm/aa7.exe
8=http://2.kv8.info/xm/aa8.exe
9=http://2.kv8.info/xm/aa9.exe
10=http://2.kv8.info/xm/aa10.exe
11=http://2.kv8.info/xm/aa11.exe
12=http://2.kv8.info/xm/aa12.exe
13=http://2.kv8.info/xm/aa13.exe
14=http://59.34.216.213/xm/aa14.exe
15=http://59.34.216.213/xm/aa15.exe
16=http://59.34.216.213/xm/aa16.exe
17=http://59.34.216.213/xm/aa17.exe
18=http://59.34.216.213/xm/aa18.exe
19=http://59.34.216.213/xm/aa19.exe
20=http://59.34.216.213/xm/aa20.exe
21=http://59.34.216.213/xm/aa21.exe
22=http://59.34.216.213/xm/aa22.exe
23=http://59.34.216.213/xm/aa23.exe
24=http://59.34.216.213/xm/aa24.exe
25=http://59.34.216.213/xm/aa25.exe
26=http://59.34.216.213/xm/aa26.exe

页: [1]

Powered by Discuz! Archiver 7.2  © 2001-2009 Comsenz Inc.